Mdulo 9 Configurao da conformidade de segurana do servidor

Viso geral do mdulo

Proteo da infra-estrutura do Windows Viso geral do EFS Configurao de uma diretiva de auditoria Viso geral do Windows Server Update Services (WSUS) Gerenciamento do WSUS

Lio 1: Proteo da infra-estrutura do Windows

Discusso: Desafios da segurana de uma infra-estrutura

do Windows
Aplicao da proteo em camadas para aumentar a

segurana
Principais prticas de segurana de servidores

Discusso: Desafios da segurana da infra-estrutura do Windows

Discuta as conseqncias da falta de ateno segurana

no seu ambiente de rede.

Discuta os desafios relacionados implementao e ao

gerenciamento da configurao segura de servidores.

Discuta os desafios relacionados proteo contra ameaas

de softwares mal-intencionados e invases.

Discuta os desafios da implementao de um controle

eficaz de identidades e acesso.

Aplicao da proteo em camadas para aumentar a segurana

Proteo em camadas um recurso que oferece vrias camadas de segurana para proteger um ambiente de rede

Dados Aplicativo Host Rede interna Permetro Segurana fsica Diretivas, procedimentos e conhecimento

ACLs, criptografia, EFS Proteo de aplicativos, antivrus Proteo do SO, autenticao Segmentos de rede, IPsec Firewalls Protetores, travas Documentos de segurana, treinamento do usurio

Principais prticas de segurana de servidores

Aplicar o service pack mais recente e todas as atualizaes de segurana disponveis Usar o Assistente de Configurao de Segurana para examinar e implementar a segurana do servidor Usar a Diretiva de Grupo e modelos de segurana para proteger servidores Restringir o escopo de acesso das contas de servio Restringir quem pode fazer logon localmente nos servidores Restringir o acesso fsico e via rede aos servidores

Lio 2: Viso geral do EFS

O que o Encrypting File System? O que Criptografia de Unidade de Disco BitLocker? Soluo de problemas do EFS

O que o Encrypting File System?

Sistema de Arquivos com Criptografia (EFS) um sistema que criptografa arquivos

EFS: O contedo dos arquivos protegido por uma chave simtrica A chave simtrica protegida por criptografia assimtrica Habilitado nas propriedades de um arquivo Requer um certificado de usurio Pode ser usado em arquivos compartilhados Pode ser configurado com um agente de recuperao, em caso de perda de certificados de usurio

O que Criptografia de Unidade de Disco BitLocker?

BitLocker um sistema que criptografa a unidade do sistema operacional inteira e volumes de dados em potencial

Criptografia de Unidade de Disco BitLocker: Ajuda a proteger dados na unidade do sistema operacional Ajuda a proteger o sistema operacional contra modificaes O acesso unidade do sistema operacional controlado por chaves de criptografia

Soluo de problemas do EFS

Determine se o problema ocorre ao criptografar ou descriptografar arquivos e se os arquivos so locais ou remotos

Verifique estes itens:

No possvel criptografar O volume NTFS O usurio tem acesso de Gravao no arquivo Perfis de usurios mveis geralmente exigem a criptografia de arquivos remotos No possvel descriptografar A localizao do arquivo confivel para delegao O perfil mvel est disponvel No possvel delegar a conta de usurio Problemas de certificado ou chave privada

Lio 3: Configurao de uma diretiva de auditoria

O que auditoria? O que uma diretiva de auditoria? Tipos de eventos para auditoria Soluo de problemas de diretiva de auditoria

O que auditoria?
A auditoria acompanha as atividades do usurio e do sistema operacional e registra os eventos selecionados em logs de segurana, como: O que ocorreu? Quem fez isso? Quando? Qual foi o resultado? Habilite a auditoria para: Criar uma linha de base Detectar ameaas e ataques Determinar danos Evitar danos futuros Faa auditoria do acesso a objetos, do gerenciamento de contas e dos procedimentos de logon e logoff dos usurios

O que uma diretiva de auditoria?

Uma diretiva de auditoria determina os eventos de segurana que sero relatados ao administrador da rede Configure uma diretiva de auditoria para: Acompanhar o xito ou a falha de eventos Minimizar o uso no autorizado de recursos Manter um registro da atividade Os eventos de segurana so armazenados em logs de segurana

Tipos de eventos para auditoria

Logon de Conta Gerenciamento de Conta Acesso ao Servio de Diretrio Alteraes no Servio de Diretrio Replicao do Servio de Diretrio Replicao Detalhada do Servio de Diretrio Logon Acesso a Objetos Alterao de Diretiva Uso de Privilgios Monitoramento de Processos Sistema

Pgina de anotaes - Slide excedente. No imprima o slide. Consulte o painel de anotaes.

Soluo de problemas de diretiva de auditoria

Exibir log de segurana em Visualizar Eventos
Aps a configurao da auditoria, ela pode no funcionar pelos seguintes motivos: Uma configurao de diretiva de site, domnio ou unidade organizacional substitui a diretiva de auditoria por voc configurada Um GPO que substitui a configurao da diretiva de auditoria tem prioridade mais alta A configurao de diretiva do site, do domnio ou da unidade organizacional que contm a configurao da diretiva de auditoria no foi replicada para outros computadores Auditoria de acesso a objetos Entender de que modo a herana afeta a auditoria de arquivos e pastas Testar uma regra de auditoria de um arquivo ou de uma pasta Abrir e fechar o arquivo ou a pasta Exibir o log de segurana para verificar se o ID de Evento 4663 foi registrado

Demonstrao: Como configurar a auditoria

Nesta demonstrao, voc ver como:
Habilitar a auditoria para vrios eventos Habilitar a auditoria do acesso a objetos

Lio 4: Viso geral do Windows Server Update Services (WSUS)

O que o Windows Server Update Services? Obteno de atualizaes Processo do Windows Server Update Services Consideraes sobre a implantao do WSUS Requisitos de servidor do WSUS Instalao do WSUS Configuraes de Diretiva de Grupo do WSUS Configurao de Atualizaes Automticas

O que o Windows Server Update Services?

Site do Microsoft Update

Atualizaes Automticas Servidor executando Windows Server Update Services

Clientes de teste

LAN
Internet Atualizaes Automticas

Obteno de atualizaes

Windows Update

WSUS

WSUS

WSUS

Processo do Windows Server Update Services

Fase 1: Analisar
Configurar um ambiente de produo que suporte o

gerenciamento de atualizaes em cenrios de rotina e de emergncia

Analisar

Fase 4: Implantar
Aprovar e agendar a

Fase 2: Identificar
Detectar novas

instalao de atualizaes
Examinar o processo

Implantar

Gerenciamento de atualizaes

Identificar

atualizaes de maneira prtica

Determinar se as

aps o trmino da implantao

atualizaes so relevantes para o ambiente de produo

Avaliar e planejar
Fase 3: Avaliar e planejar
Testar as atualizaes em um ambiente semelhante ao de

produo, mas que est separado dele

Determinar as tarefas necessrias para implantar atualizaes

na produo, planejar a liberao de atualizaes, compilar as verses e conduzir testes de aceitao delas

Consideraes sobre a implantao do WSUS

Conectividade com a Internet Nmero de servidores do WSUS Implantao simples do WSUS Hierarquia de servidor do WSUS Grupos de computadores Armazenamento de atualizaes

Requisitos de servidor do WSUS

Requisitos de software:

Windows Server 2003 SP1 ou Windows Server 2008 IIS 6.0 ou posterior Windows Installer 3.1 ou posterior Microsoft .NET Framework 2.0 SQL Server 2005 SP1 ou posterior (opcional) Microsoft Report Viewer Redistributable 2005

Instalao do WSUS
Consideraes sobre a instalao do servidor do WSUS: Selecionar a origem de atualizao Selecionar o software usado para gerenciar o banco de dados do WSUS Selecionar o site que o WSUS utilizar para apontar os computadores cliente para o WSUS

O console de administrao do WSUS: O console de administrao do WSUS 3.0 pode ser usado para gerenciar qualquer servidor que tenha uma relao de confiana com o computador do console de administrao

Configuraes de Diretiva de Grupo do WSUS

A Diretiva de Grupo pode especificar:
O servidor do WSUS a ser usado Se so exibidas notificaes de atualizao A freqncia da verificao de atualizaes O comportamento de reinicializao automtica A associao a grupos de computadores do WSUS Se os computadores devem acordar para aplicar

atualizaes

Configurao de Atualizaes Automticas

Configurar Atualizaes Automticas usando a Diretiva de Grupo Configurao do Computador/Modelos Administrativos/ Componentes do Windows/Windows Update Requer o modelo administrativo wuau.adm atualizado Requer: Windows Vista Windows Server 2008 Windows Server 2003 Windows XP Professional SP2 Windows 2000 Professional SP4, Windows 2000 Server/Advanced Server SP3 ou SP4

Demonstrao: Configurao do WSUS

Nesta demonstrao, voc ver como:
Definir as configuraes de cliente da Atualizao Automtica

usando a Diretiva de Grupo

Lio 5: Gerenciamento do WSUS

Administrao do WSUS Gerenciamento de grupos de computadores Aprovao de atualizaes Atualizaes de segurana do Server Core

Administrao do WSUS

Ferramentas de linha de comando para gerenciar atualizaes:

Wuauclt.exe controla o Windows Update Agent Wsusutil.exe gerenciamento do WSUS

Gerenciamento de grupos de computadores

Os computadores so adicionados automaticamente Grupos de computadores padro Todos os Computadores Computadores No Atribudos Direcionamento no lado do cliente

Aprovao de atualizaes

As opes de aprovao incluem: Instalar Recusar No Aprovar Remoo Tambm permitido automatizar a aprovao

Demonstrao: Gerenciamento do WSUS

Nesta demonstrao, voc ver como:
Adicionar um computador ao WSUS Aprovar uma atualizao

Atualizaes de segurana do Server Core

Para habilitar o Windows Update no Server Core:
Cscript c:\Windows\system32\scregedit.wsf /au /4

Para instalar atualizaes manualmente no Server Core:

Wsua.exe <update>.msu /quiet

Para remover atualizaes manualmente do Server Core:

Em <update>.xml, substitua Install por Remove e salve o

arquivo.
pkgmgr /n:<update>.xml

Laboratrio: Gerenciar a segurana do servidor

Exerccio 1: Configurao do Windows Software Update

Services
Exerccio 2: Configurao da auditoria

Informaes de logon

Mquina virtual Nome de usurio Senha

NYC-DC1, NYC-SVR1, NYC-CL2

Administrador Pa$$w0rd

Tempo estimado: 60 minutos

Cenrio do laboratrio
Como Especialista em Tecnologia de Servios de Infra-

estrutura do Windows, voc tem a tarefa de configurar e gerenciar a conformidade com patches de segurana de clientes e servidores e de implementar uma diretiva de auditoria para rastrear eventos especficos que ocorrem no AD DS. Voc deve assegurar que os sistemas mantenham a conformidade com os padres corporativos.

Reviso do laboratrio
Aps a instalao do software do servidor do WSUS,

exibido um assistente que ajuda a configurar as propriedades do WSUS. Como alterar as propriedades que foram atribudas de maneira incorreta aps a concluso do assistente?
Quando se implementa uma auditoria de servio de

diretrio, que critrios so relevantes ao escolher implementar sucesso e/ou falha?

Reviso do mdulo e informaes

Perguntas de reviso Prticas recomendadas